Uli Blumenthal: Vor zwei Jahren sorgte ein Computervirus namens Stuxnet für Aufregung. Der Virus infizierte ganz gezielt Computer, vor allem im Iran. Mutmaßlich sollte Stuxnet dem iranischen Atomprogramm schaden. Im vergangenen Jahr dann tauchte Duqu auf - ein Computervirus, der ganz auf ¬Spionage ausgerichtet war. Technisch gesehen sind Duqu und Stuxnet eng verwandt. Am Pfingstwochenende nun sorgte ein neuer Virus für Aufsehen: Flame, so heißt das Programm, ist von Experten des russischen Kaspersky Lab entdeckt worden. Jan Rähm, Fachjournalist und Autor unserer wöchentlichen Sendung "Computer und Kommunikation", Stuxnet war ein Saboteur, Duqu ein Spion. Wer oder was ist nun Flame?
Jan Rähm: Flame ist wieder ebenfalls ein Spion, der - und das ist sehr besonders - riesige Datenmengen sammelt und selbst auch vergleichsweise groß ist - und dabei zudem sehr hoch entwickelt und komplex. Der Name Flame kommt daher, dass die Dateien, die zu Flame gehören, im Namen drin "Flame" stehen haben. Und der Antivirenhersteller hat daraufhin gesagt, das ganze Ding nennt er jetzt Flame.
Blumenthal: Wie hat man Flame gefunden und wo ist er eigentlich bisher aufgetaucht?
Rähm: Gefunden hat ihn wie gesagt ein Antivirensoftware-Hersteller. Der hat auf Anfrage einer UN-Unterorganisation Computer im Iran untersucht - und zwar Rechner des Ölministeriums und des nationalen Öl-Unternehmens. Da gab es nämlich im April Datendiebstähle und Sabotage. Auf diesen Rechnern wurden Bestandteile gefunden, und die sagen, Flame ist ungefähr seit 2010 im Einsatz. Es gibt aber sogar schon Hinweise, dass das noch länger her sein kann - dass sogar schon 2007 ein erster Rechner in Europa, und 2008 in Dubai aktiv mit Flame befallen war. Aktuell sollen es - und da widersprechen sich die Quellen - bis zu 1000 Rechner sein, sagt die eine Quelle. Eine paar andere Quellen sprechen von über 5000 Rechnern. Betroffen sind regierungsnahe Anwender, aber auch nicht-staatliche Institutionen und Privatanwender im Iran. Im Libanon, in Syrien, im Sudan, auch in Israel soll Flame aufgetaucht sein und auch im Mittleren Osten und Nordafrika soll es einige weitere Fälle geben, wie auch in Europa.
Blumenthal: Lässt sich aus der Verbreitung oder dem Auftauchen dieses Computervirus Flame irgendwie analysieren, heraussagen oder mehr als spekulieren, wer hinter diesen Vorfällen und Attacken steckt?
Rähm: Also das ist im Moment noch sehr schwer. Die ersten Analysen sagen, dass da wahrscheinlich eine staatliche Organisation dahintersteckt, weil: Er ist einfach viel zu komplex für Hobbyhacker. Und Profihacker sollen wohl ausscheiden, weil die typischen Daten, die Profihacker sich sonst holen - so etwas wie Kreditkarteninformationen -, wurden hier nicht gezielt gestohlen und vor allen Dingen auch nicht angewendet. Zudem soll Flame laut diesem Antivirensoftware-Hersteller sehr komplex aufgebaut sein: mehrfach geschachtelt, mehrfach in sich verschlüsselt. Und all das spricht absolut für ein sehr professionelles Entwicklerteam.
Blumenthal: Was sagen die ersten Analysen der Kaspersky-Experten zum Verhalten dieses Virus?
Rähm: Das ist ganz interessant. Denn Flame ist modular aufgebaut. Das heißt, er kann sehr flexibel eingesetzt werden, kann sich auch sehr gut verstecken und er kann - je nach Modul - zum Beispiel Mikrofone abhören und damit als Wanze fungieren. Er kann Bildschirminhalte abfotografieren, er sammelt Dokumente, er schneidet Gespräche sowohl in Sprache, aber auch in Form von Chats, also über die Tastatureingaben mit. Er kann mit einem weiteren Modul die Bluetoothdatenfunkschnittstelle aktivieren und so zum Beispiel ein Handy, das in der Nähe des PCs liegt, abhören. Und die Daten, die auf diesem Handy sind, kann er sichern. Auch der Netzwerkverkehr ist nicht vor Flame sicher. Und dort schaut Flame gezielt nach Benutzernamen und Passwörtern, um dann möglicherweise Zugriff auf weitere Rechner oder andere Teile der Infrastruktur zu bekommen. Eine Hintertür gehört ja mittlerweile fast zum guten Ton bei solchen Viren und Trojanern. Über die kann neue Schadsoftware, neue Funktionen und auch Aktualisierungen eingespielt werden. Flame telefoniert natürlich dann auch nach Hause. Dazu nutzt es mehr als 80 verschiedene Server und nutzt verschlüsselte und verschleierte Kanäle, um nicht aufzufallen.
Blumenthal: Weiß man schon, wie Flame verbreitet wird? Geht es genau auf einen Rechner zielgerichtet oder wird es quasi in die Internetwelt entlassen und verbreitet sich dann von Rechner zu Rechner weiter, ungezielt und ungeplant?
Rähm: Also letzteres, das ist sicher, tut Flame nicht. Er wird ganz gezielt auf Rechner gebracht. Wie allerdings die Infektion und auch die Weiterverbreitung vonstatten geht, ist im Moment noch weitestgehend unklar. Man weiß, Flame kann die USB-Schnittstelle, also über USB-Stick zum Beispiel benutzen, oder auch das Computernetzwerk. Und er nutzt auch Sicherheitslücken in Software und auch in Windows-Betriebssystemen. Das aktuelle Windows 7 - selbst wenn es komplett aktualisiert und auf Stand ist - kann von Flame befallen werden. Und es nutzt die gleichen Lücken, die auch schon Stuxnet nutzte. Aber das sind auch die einzigen Gemeinsamkeiten, die es da gibt. Aktiv verbreitet es sich nicht selbst, sondern nur auf Anweisung von außen.
Zum Themenportal "Risiko Internet"
Jan Rähm: Flame ist wieder ebenfalls ein Spion, der - und das ist sehr besonders - riesige Datenmengen sammelt und selbst auch vergleichsweise groß ist - und dabei zudem sehr hoch entwickelt und komplex. Der Name Flame kommt daher, dass die Dateien, die zu Flame gehören, im Namen drin "Flame" stehen haben. Und der Antivirenhersteller hat daraufhin gesagt, das ganze Ding nennt er jetzt Flame.
Blumenthal: Wie hat man Flame gefunden und wo ist er eigentlich bisher aufgetaucht?
Rähm: Gefunden hat ihn wie gesagt ein Antivirensoftware-Hersteller. Der hat auf Anfrage einer UN-Unterorganisation Computer im Iran untersucht - und zwar Rechner des Ölministeriums und des nationalen Öl-Unternehmens. Da gab es nämlich im April Datendiebstähle und Sabotage. Auf diesen Rechnern wurden Bestandteile gefunden, und die sagen, Flame ist ungefähr seit 2010 im Einsatz. Es gibt aber sogar schon Hinweise, dass das noch länger her sein kann - dass sogar schon 2007 ein erster Rechner in Europa, und 2008 in Dubai aktiv mit Flame befallen war. Aktuell sollen es - und da widersprechen sich die Quellen - bis zu 1000 Rechner sein, sagt die eine Quelle. Eine paar andere Quellen sprechen von über 5000 Rechnern. Betroffen sind regierungsnahe Anwender, aber auch nicht-staatliche Institutionen und Privatanwender im Iran. Im Libanon, in Syrien, im Sudan, auch in Israel soll Flame aufgetaucht sein und auch im Mittleren Osten und Nordafrika soll es einige weitere Fälle geben, wie auch in Europa.
Blumenthal: Lässt sich aus der Verbreitung oder dem Auftauchen dieses Computervirus Flame irgendwie analysieren, heraussagen oder mehr als spekulieren, wer hinter diesen Vorfällen und Attacken steckt?
Rähm: Also das ist im Moment noch sehr schwer. Die ersten Analysen sagen, dass da wahrscheinlich eine staatliche Organisation dahintersteckt, weil: Er ist einfach viel zu komplex für Hobbyhacker. Und Profihacker sollen wohl ausscheiden, weil die typischen Daten, die Profihacker sich sonst holen - so etwas wie Kreditkarteninformationen -, wurden hier nicht gezielt gestohlen und vor allen Dingen auch nicht angewendet. Zudem soll Flame laut diesem Antivirensoftware-Hersteller sehr komplex aufgebaut sein: mehrfach geschachtelt, mehrfach in sich verschlüsselt. Und all das spricht absolut für ein sehr professionelles Entwicklerteam.
Blumenthal: Was sagen die ersten Analysen der Kaspersky-Experten zum Verhalten dieses Virus?
Rähm: Das ist ganz interessant. Denn Flame ist modular aufgebaut. Das heißt, er kann sehr flexibel eingesetzt werden, kann sich auch sehr gut verstecken und er kann - je nach Modul - zum Beispiel Mikrofone abhören und damit als Wanze fungieren. Er kann Bildschirminhalte abfotografieren, er sammelt Dokumente, er schneidet Gespräche sowohl in Sprache, aber auch in Form von Chats, also über die Tastatureingaben mit. Er kann mit einem weiteren Modul die Bluetoothdatenfunkschnittstelle aktivieren und so zum Beispiel ein Handy, das in der Nähe des PCs liegt, abhören. Und die Daten, die auf diesem Handy sind, kann er sichern. Auch der Netzwerkverkehr ist nicht vor Flame sicher. Und dort schaut Flame gezielt nach Benutzernamen und Passwörtern, um dann möglicherweise Zugriff auf weitere Rechner oder andere Teile der Infrastruktur zu bekommen. Eine Hintertür gehört ja mittlerweile fast zum guten Ton bei solchen Viren und Trojanern. Über die kann neue Schadsoftware, neue Funktionen und auch Aktualisierungen eingespielt werden. Flame telefoniert natürlich dann auch nach Hause. Dazu nutzt es mehr als 80 verschiedene Server und nutzt verschlüsselte und verschleierte Kanäle, um nicht aufzufallen.
Blumenthal: Weiß man schon, wie Flame verbreitet wird? Geht es genau auf einen Rechner zielgerichtet oder wird es quasi in die Internetwelt entlassen und verbreitet sich dann von Rechner zu Rechner weiter, ungezielt und ungeplant?
Rähm: Also letzteres, das ist sicher, tut Flame nicht. Er wird ganz gezielt auf Rechner gebracht. Wie allerdings die Infektion und auch die Weiterverbreitung vonstatten geht, ist im Moment noch weitestgehend unklar. Man weiß, Flame kann die USB-Schnittstelle, also über USB-Stick zum Beispiel benutzen, oder auch das Computernetzwerk. Und er nutzt auch Sicherheitslücken in Software und auch in Windows-Betriebssystemen. Das aktuelle Windows 7 - selbst wenn es komplett aktualisiert und auf Stand ist - kann von Flame befallen werden. Und es nutzt die gleichen Lücken, die auch schon Stuxnet nutzte. Aber das sind auch die einzigen Gemeinsamkeiten, die es da gibt. Aktiv verbreitet es sich nicht selbst, sondern nur auf Anweisung von außen.
Zum Themenportal "Risiko Internet"
